智能制造领域工业控制系统网络安全防护研究

智能制造领域工业控制系统网络安全防护研究

刘彦均

230604198208294712

摘要：近年来，智能制造生产网和企业网之间数据交互越来越频繁，传统的人工刻录、数据拷贝的交换方式严重制约着智能制造企业生产效率的提升，生产网与企业网互联互通需求迫切。但是，作为生产网重要组成部分的工业控制系统，其安全防护严重不足，互联互通进一步增大系统暴露面，从而严重威胁工控系统安全稳定运行。同时，新一代信息技术的出现和大量应用，工控系统日趋数字化、网络化、智能化，工控生产网络边界日益模糊，网络安全问题凸显。

关键词：智能制造领域；工业控制系统；网络安全防护

工业自动化从3.0时代向4.0时代迈进，数字化、网络化、智能化是工业4.0的重要特征。工业控制系统将打破原有的“信息孤岛”与企业管理网络无缝连接，实现企业生产、管理信息一体化。而企业管理网络与互联网直接连接，基于互联网的安全威胁将通过企业管理网络不断向工业控制系统渗透，诸如计算机病毒感染、未授权用户非法入侵等网络安全事件频发，给我国工业控制系统网络信息安全敲响了警钟。

1. 工业控制系统网络中的漏洞与安全隐患

1.1工业企业网络平台的漏洞

部分企业比较重视生产，而轻视企业信息安全，安全保护意识淡薄。在建设企业网络平台时，为减少投资，降低安全标准，安全防护等级配置也较低，系统设置的密码比较简单，很容易被网络病毒、网络黑客攻击。这不仅会使企业丢失重要数据，也会影响到工业控制系统的安全，严重时会使企业生产停摆、瘫痪，给企业造成不可估量的损失。

1.2工业控制系统网络安全防护中的漏洞

工业控制系统是控制企业生产设备按设计的工艺流程正常工作的一套系统，用于车间级控制，是相对封闭和独立的。随着企业信息化的不断推进，工业控制系统网络逐渐融入了企业管理网络，而由于信息安全防护意识的淡薄，往往容易忽视针对工业控制系统的防护。例如：工业控制系统网络与企业办公网络的边界防护措施不足、工业控制系统安全管理和防护不到位、安全监测审计系统缺失等。

2. 智能制造领域工业控制系统网络安全防护建议

2.1构建安全管理体系

（1）安全管理制度。基于安全防护工作要求，设置专门的负责部门和人员，由安全主管人以及安全管理人员等负责；同时组建网络安全委员会或者领导小组，做好具体工作的把握；根据网络安全防护工作要求和需求，制定相应的管理制度和办法，实现对岗位职责和资源的有效划分；配置充足的人力资源，保证网络安全工作落实到位；强化和供应商以及安全企业等的沟通，对安全形势和变化有着及时的掌握；定期组织开展安全检查，记录好检查数据，生成安全检查报告，保障各项工作落实到位。

（2）组建安全管理机构，配置网络安全管理人员。整个网络安全管理体系是否能够高效运行，同机构的组建以及人员配置等，有着紧密的关系。结合工作所需，配置人力资源，负责协调和指导以及落实网络安全管理多项工作，构建高效的安全防护组织体系。

（3）加强安全建设管理。从安全建设管理的角度来说，要围绕信息系统全生命周期，做好系统审批和建设以及安全定级等要点的把控，落实安全管理措施。

（4）加强安全运维管理。结合网络安全威胁和风险产生的原因特点，围绕机房环境、漏洞以及网络等，设施安全运维管理，高效处置变更、备份以及恢复、各类安全事件等，落实安全评估和安全加固等各项工作，保障安全管理到位。

2.2充分运用网络安全防护技术

新一代信息技术极大地促进了工业企业信息化、数字化的发展，但一体化的企业网络也给位于生产控制层的工业控制系统带来了不确定的安全风险和隐患。

（1）边界安全防护。在企业管理网与互联网接口处安装防火墙，起到企业网络和其他外部网络之间的物理隔离作用，防止来自企业外部的攻击和入侵，保障企业生产数据的安全。

（2）异常检测与防护。在企业管理网与控制系统网接口处安装工业防火墙，启用白名单策略。这是一种主动防御技术，只有符合特定要求的数据才能访问工业控制网络，它能有效防止外部网络向工控网络发起基于工控协议的各类攻击，确保工业控制网络的安全。

（3）安装工控安全监测审计系统。在工控系统中安装工控监测审计系统，该系统能解析诸如SiemensS7、EtherNet/IP、Modbus、OPC等主流工控协议，能实时审计、监测和记录、保存异常攻击、非法操作等异常行为，有利于安全事件的调查，快速定位事故原因。

（4）安装工控网络安全管理平台。在企业内部安装工控网络安全管理平台，组建专门的信息安全管理团队统一管控所有工控网络安全设备与安全防护手段，定期扫描漏洞，及时更新相关安全产品的软件版本，统一分级设置账户及权限，做好非法账户登录的预警和记录等，对工控网络安全现状实时、全面地进行监控。

2.3集中管理

在安全管理中心部署一套工控运维堡垒机系统，针对工控系统安全运维提供全过程的安全审计，基于事前运维资源和运维用户授权规划、事中运维过程实时在线监控、事后运维记录安全审计确保工控系统自运维或委托第三方运维过程的安全、可控。

在安全管理中心部署一套工控安全管理平台，用于安全设备的统一管理。通过部署工控安全管理平台，实现工控网络安全设备统一策略管理及分发；同时针对工控网络资产日志、异常告警等信息，传统的逐点关注、人工排查的方式一方面不利于安全问题的及时发现，另一方面分散的日志或告警信息的关联、分析对工控系统运维人员提出了更高的要求，需要从技术层面解决网络安全事件的识别、分析及追溯，工控安全管理平台基于大数据处理技术及关联分析、行为分析引擎，实现告警信息的关联分析，实时感知厂级工控系统网络安全态势。

2.4纵深防御措施

（1）安全规划。建立有针对性的安全规划是做好工控安全防护的第一步。在工控安全防护建设过程中应事先定义安全防护策略及规范并严格执行，同时根据系统变更情况及时更新和调整。安全规划包含安全组织机构设立、安全防护策略、安全意识宣贯、制定应急处置计划等内容。

（2）物理环境。物理防护是工控系统安全稳定运行的第一道防线，生产企业应通过机房钥匙、门禁卡、生物指纹等措施限制内部员工、第三方人员访问控制室、重要控制设备、网络区域的范围。

（3）网络。同物理安全限制对工控系统的物理区域和资产的授权访问一样，网络安全限制对工控网络逻辑区域的访问。工控系统网络安全防护的思路是应用防火墙规则，设置访问控制列表以及实施入侵检测将网络划分成不同安全区域。通过严格控制和监视穿越安全区域的流量，及时发现异常行为并有效处置。

（4）终端。终端安全防护主要包括补丁更新、恶意代码防范、移除不再使用的应用程序或服务、通过技术或物理手段限制 USB、网口等物理端口的使用，确保终端计算环境安全可靠。

（5）应用。应用安全防护的目的在于阻止用户未授权的应用程序交互，通过应用程序认证、授权和审计三种安全机制实现。其中认证用于校验应用程序用户身份，授权基于用户身份分配适当的权限，审计日志记录用户操作行为，便于事后追溯。另外，对于工控系统应用程序，需做好上线前检测、脆弱性检查及补丁验证更新工作。

结 语：

工业控制系统网络安全问题是当前工控安全领域的焦点，我国工业控制系统网络还存在诸多的安全漏洞，这就需要我们积极探索，通过完善企业信息安全管理体系、充分运用网络安全防护技术，提升智能制造企业信息安全管理水平，逐步推动我国工业控制系统网络信息安全的稳步发展。

参考文献：

[1]王红岗.工业控制系统网络安全分析与管理策略探究[J].化工管理,2020(11):93-94.

[2]周奇辉.工业控制系统网络安全性研究[J].网络空间安全,2016,7(06):56-59+64.

[3]马祥厚,刘晓垒.工业控制系统网络安全防护体系研究[J].信息系统工程,2018(08):77.